Trojan.Daonol/Trojan.Kates et redirections Google

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87575
Inscription : 10 sept. 2005 13:57
Contact :

Trojan.Daonol/Trojan.Kates et redirections Google

Message par Malekal_morte » 28 mars 2009 20:10

Pour supprimer Trojan.Kates, suivre les instructions de cette page : https://www.malekal.com/Trojan.Kates.php

Trojan.Daonol / Gumblar n'est pas un malware nouveau, mi-Décembre, ce lien installé déjà ce malware : 110-175-trojan-daonol-gumblar-t15928.html#p124278
Trojan.Daonol / Gumblar est toujours actif, ce dernier provoque des redirections lors des recherches Google pour en autre faire la promotion de rogues.

Le point interressant de ce malware est le point de chargement [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] qui est assez peu courant.
Le malware utilise soit la clef "aux2" si "aux" est déjà utilisé, ce qui peut être le cas par le driver de son wmdaud.drv

Les premières variantes droppées des fichiers %System%\sysaudio.sys ou %System%\wdmaud.sys (wmaud.drv existe et il est OK), l'infection droppe maintenant des fichiers aléatoires.

Les localisations du malware peuvent être dans Local Settings et %windir%.
Ce dernier utilise des liens relatifs avec ..\, il faut donc remonter d'un niveau dans l'arborescence (c:\windows\system32\..\ = C:\Windows)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"= c:\docume~1\Melanie\LOCALS~1\Temp\..\nkq.dql
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= c:\docume~1\Aarons\LOCALS~1\Temp\..\fnjso.xoo
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
"aux"= c:\windows\system32\..\bsuags.xvy
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"aux"="wdmaud.drv" - OK
"aux2"="C:\DOCUME~1\Dave\LOCALS~1\Temp\..\dgfij.ide" - Malware
Côté désinfection, notez qu'il existe un fix en version béta pour le moment de jpshortstuff sous le nom de DaonolFix
Combofix est capable de supprimer certaine variante ainsi que MalwareByte's Anti-Malware.
Si vous pensez avoir plusieurs malwares sur votre PC, vous pouvez suivre la Procédure de désinfection des Trojans/Backdoor

Dans tous les cas DaonolFix et Combofix génère tous les deux un rapport avec un export des clefs sensibles pour analyse.

~~

Variante Novembre 2009 - voir post plus bas

Il semblerait que la clef soit maintenant cachée et que le fichier soit dans %USERNAME% ; ex C:\DOCUME~1\MALEKA~1\srn.bak 0yAAAAAAAA
On peux supprimer le fichier mais le malware fait une copie backup pour remettre le fichier infectieux en place.

Ci-dessus deux captures avec GMER où l'on voit la clef infectieuse midi9 et regedit/DaonolFix

Image

Image

La détection du fichier :
File mrgi.bak received on 2009.11.16 22:08:50 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 6/41 (14.64%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.16 -
AhnLab-V3 5.0.0.2 2009.11.16 -
AntiVir 7.9.1.65 2009.11.16 -
Antiy-AVL 2.0.3.7 2009.11.16 -
Authentium 5.2.0.5 2009.11.16 -
Avast 4.8.1351.0 2009.11.16 -
AVG 8.5.0.425 2009.11.16 PSW.Generic7.ARYI
BitDefender 7.2 2009.11.16 -
CAT-QuickHeal 10.00 2009.11.16 -
ClamAV 0.94.1 2009.11.16 -
Comodo 2960 2009.11.16 -
DrWeb 5.0.0.12182 2009.11.16 -
eSafe 7.0.17.0 2009.11.16 -
eTrust-Vet 35.1.7123 2009.11.16 Win32/Kates!generic
F-Prot 4.5.1.85 2009.11.16 -
F-Secure 9.0.15370.0 2009.11.11 -
Fortinet 3.120.0.0 2009.11.16 -
GData 19 2009.11.16 -
Ikarus T3.1.1.74.0 2009.11.16 -
Jiangmin 11.0.800 2009.11.16 -
K7AntiVirus 7.10.897 2009.11.16 -
Kaspersky 7.0.0.125 2009.11.16 Trojan-PSW.Win32.Kates.z
McAfee 5804 2009.11.16 -
McAfee+Artemis 5804 2009.11.16 -
McAfee-GW-Edition 6.8.5 2009.11.16 -
Microsoft 1.5202 2009.11.16 -
NOD32 4613 2009.11.16 a variant of Win32/Daonol.X
Norman 6.03.02 2009.11.16 -
nProtect 2009.1.8.0 2009.11.16 -
Panda 10.0.2.2 2009.11.16 -
PCTools 7.0.3.5 2009.11.16 -
Prevx 3.0 2009.11.16 -
Rising 22.22.00.08 2009.11.16 Trojan.Clicker.Win32.Mnless.dy
Sophos 4.47.0 2009.11.16 -
Sunbelt 3.2.1858.2 2009.11.12 -
Symantec 1.4.4.12 2009.11.16 -
TheHacker 6.5.0.2.071 2009.11.16 -
TrendMicro 9.0.0.1003 2009.11.16 -
VBA32 3.12.10.11 2009.11.15 -
ViRobot 2009.11.16.2039 2009.11.16 Trojan.Win32.Delf.26624.J
VirusBuster 4.6.5.0 2009.11.16 -
Additional information
File size: 26624 bytes
MD5...: b859746f1b37ff878663dc12dcd5e64d
SHA1..: 6e704dd354eba6b5a672801f993a0e7fa90705ba
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87575
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Daonol/Gumblar et redirections Google

Message par Malekal_morte » 08 nov. 2009 23:15

Gumblar/Daonol refait parler de lui toujours via des exploits sur des sites WEB : Au niveau des logiciels visés par les exploits on retrouve toujours le couple Adobe Reader et Flash, voir : exploitation-swf-pdf-et-java-systeme-no ... ml#p104313
mais aussi Office et d'autres produits MS, se reporter au MS09-043.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87575
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Daonol/Gumblar et redirections Google

Message par Malekal_morte » 16 nov. 2009 23:12

Un peu de Daonol sur ce topic : water4health-com-gumblar-daonol-t21880.html
Le topic initial a été édité avec des infos sur la version Novembre 2009.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87575
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Daonol/Trojan.Kate et redirections Google

Message par Malekal_morte » 01 juil. 2010 19:47

Juste pour signaler deux choses.


Première le malware est aussi détecté en Trojan.Kate :


Image
File SGA-000001 received on 2010.07.01 07:13:23 (UTC)
Current status: finished
Result: 4/41 (9.76%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 5.0.0.31 2010.07.01 -
AhnLab-V3 2010.07.01.00 2010.07.01 -
AntiVir 8.2.4.2 2010.06.30 -
Antiy-AVL 2.0.3.7 2010.06.30 -
Authentium 5.2.0.5 2010.07.01 -
Avast 4.8.1351.0 2010.06.30 -
Avast5 5.0.332.0 2010.06.30 -
AVG 9.0.0.836 2010.07.01 -
BitDefender 7.2 2010.07.01 -
CAT-QuickHeal 11.00 2010.06.30 -
ClamAV 0.96.0.3-git 2010.07.01 -
Comodo 5272 2010.07.01 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2010.07.01 -
eSafe 7.0.17.0 2010.06.30 -
eTrust-Vet 36.1.7677 2010.06.30 -
F-Prot 4.6.1.107 2010.06.30 -
F-Secure 9.0.15370.0 2010.07.01 -
Fortinet 4.1.133.0 2010.06.30 -
GData 21 2010.07.01 -
Ikarus T3.1.1.84.0 2010.07.01 -
Jiangmin 13.0.900 2010.07.01 -
Kaspersky 7.0.0.125 2010.07.01 Trojan-PSW.Win32.Kates.jx
McAfee 5.400.0.1158 2010.07.01 -
McAfee-GW-Edition 2010.1 2010.06.30 -
Microsoft 1.5902 2010.07.01 -
NOD32 5241 2010.06.30 -
Norman 6.05.10 2010.07.01 -
nProtect 2010-06-30.01 2010.06.30 -
Panda 10.0.2.7 2010.06.30 Suspicious file
PCTools 7.0.3.5 2010.07.01 -
Prevx 3.0 2010.07.01 -
Rising 22.54.03.01 2010.07.01 -
Sophos 4.54.0 2010.07.01 -
Sunbelt 6529 2010.07.01 -
Symantec 20101.1.0.89 2010.07.01 -
TheHacker 6.5.2.0.305 2010.06.30 -
TrendMicro 9.120.0.1004 2010.07.01 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.07.01 -
VBA32 3.12.12.5 2010.06.30 -
ViRobot 2010.6.29.3912 2010.07.01 -
VirusBuster 5.0.27.0 2010.06.30 -
Additional information
File size: 31744 bytes
MD5 : 66465abfffd6554baea0a37f797a0a15
SHA1 : 1003971207a436e2b11c79444512c265f18fe190
et qu'ensuite Kaspersky a mis en ligne un remover pour ce malware (Merci Curson pour l'info).
et que ce dernier semble fonctionner.

Plus d'informations, voir la page pour supprimer Trojan.Kates : https://www.malekal.com/Trojan.Kates.php

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité